디지털 전환의 물결이 전 세계를 덮치면서 온 국가가 더 촘촘하게 온라인으로 연결되고 있다. 이에 따라 국가별 규제가 증가하고 복잡해지고 있지만, 사이버 위협은 날이 갈수록 빠른 확산세를 보이고 있는 상황이다. 이 기사에서는 이런 환경의 중심에 있는 5가지 핵심 동향을 소개하고, 기업이 취할 수 있는 기본적인 대응책을 제시한다.
사이버 보안은 중요한 변곡점에 와있다. 사이버 환경을 그 어느 때보다 더 위험하고 복잡한 곳으로 만들며, 기업의 보안 관리 비용을 높이고 있는 5가지 큰 동향을 간략히 소개하고자 한다.
1. 디지털 전환과 원격근무의 시대
맥킨지 보고서는 팬데믹에 따라 전 세계 국가들이 온라인으로 더 밀접하게 연결되면서 정부 및 기업의 디지털 혁신이 약 7년 가까이 앞당겨졌다고 기술했다. 한꺼번에 방대한 양의 인프라 및 관련 서비스가 온라인으로 전환됐지만, 사이버 공격자에게 원격 사용자, 취약한 시스템 및 보안 체계를 겨냥할 기회를 더 많이 제공한 셈이다.
팬데믹은 또한 사람들의 디지털 의존도를 높였다. 래더스(Ladders) 보고서에 따르면 올해 원격근무가 미국 전체 일자리에서 차지하는 비율은 거의 25%에 달했으며, 2023년에는 더 높아질 것으로 예측됐다. 기존 사무실 환경에서 직원의 사이버 보안을 유지했던 방식은 이제 무의미해졌다. 원격으로 근무하는 직원이 개인 기기에서 회사 리소스에 액세스하고, 보안이 취약한 공공 Wi-Fi 네트워크를 사용함에 따라 기업이 공격 및 데이터 침해의 위험에 더 많이 노출되고 있다.
2. 생태계로 변모하고 있는 기업
오늘날 현대 기업은 정보를 투명하게 공유하고 무역 장벽을 우회하고자 공급업체 및 파트너에게 회사의 인프라와 자원을 광범위하게 개방하고 있다. 하지만 이러한 개방은 곧 사이버 보안망이 회사의 통제권을 벗어난다는 뜻이기도 하다. 이렇게 거대한 생태계를 관리하고, 보안을 유지하고 규제하는 것은 매우 복잡하다. NCC 그룹의 연구에 따르면 공급망 사이버 공격은 작년 대비 51%나 증가했다.
3. 하이브리드 위협 환경
물리적 세계와 디지털 세계가 겹치면서 사이버 공격이 물리적 세계에 영향을 미치는, 이른바 하이브리드 위협 환경(hybrid threat landscape)이 나타나고 있다(그 반대의 경우도 마찬가지다). 이는 영업 중단, 물리적 보안 및 안전 인프라의 손상, 기밀 데이터의 도난 또는 손실, 소송 및 심지어는 인명 피해 등의 참사로 이어질 수 있다.
심지어 가트너는 2025년에 이르면 사이버 공격자가 핵심 인프라(금융 시스템, 연료 또는 가스 파이프라인, 전력망, 상수도, 의료 또는 인터넷 자체)를 장악해 인간을 생명까지 위협할 수 있다는 재앙적인 전망까지 내놓았다.
4. 새로운 기술, 새로운 위험
사물 인터넷, 멀티 클라우드, 5G 및 에지 컴퓨팅과 같은 기술의 출현은 곧 수백억 개의 온라인 기기가 공격 대상이 된다는 뜻이기도 하다. 해커는 이런 인프라의 인공지능 알고리즘을 조작해 편견을 제도화하고, 불공정하거나 심지어 상해를 끼치는 결과를 초래할 수 있다. 전 세계가 더 촘촘히 연결되는 만큼 해킹의 파급력이 커진다.
5. 더욱 다분화되고 난해해지는 규제
사이버 공격과 데이터 침해 사건이 급증함에 따라 사이버 공간의 활동을 규제해야 할 정부의 역할이 대두되고 있다. 거의 모든 주요 국가가 이미 각 나름의 데이터 보호 또는 개인 정보 보호법을 제정하고 있다. 이렇게 빠르게 변화하는 규제 환경에서 각 국가의 규제를 파악하고 준수하는 일이 매우 골치 아파진다. 운영 지역의 수가 많아질수록 더욱 그렇다. 게다가 규정을 철저히 지키지 않으면 운영 차질, 처벌 및 벌금 및 고객 신뢰 상실 등의 불이익을 받을 수 있어 규제 준수 업무를 단순하게 치부할 수도 없는 노릇이다.
참고할 만한 사이버 보안 대응책
기업은 다음과 같은 대응책을 참고해 보안을 강화할 수 있다.
• 잠재적 위험에 대비하는 데 필요한 보안 및 통제 체계를 파악한 뒤, 우선순위를 정해 차례대로 구축한다. 또한 정기적으로 보안 성숙도를 평가한다.
• ISO 27001 또는 NIST(미국 국립표준기술연구소)의 사이버 보안 프레임워크와 같은 보안 체계를 도입한다. 체계적인 보안 접근 방식을 도입한 기업은 데이터 침해를 더 빠르게 감지하고, 주요 사이버 보안 지표에서 다른 기업보다 뛰어난 성과를 보인다.
• 직원 차원의 사이버 보안 수칙을 수립한다. 위협 상황에 닥쳤을 때 직원들이 보이는 반사적인 행동 및 패턴을 분석해 안전한 사이버 보안 수칙을 따르는 문화를 조성하라.
• 공급망 보안을 더 철저히 한다. 공급망 위험 평가를 정기적으로 수행하고, 중요한 공급업체의 보안에 집중한다. 또한 위험 노출을 모니터링하고, 회사가 지정한 보안 기준을 충족하지 않는 공급업체와의 계약을 파기하는 절차를 구축한다.
• 너무 많은 도구를 사용하지 않는다. 여러 기술을 마구잡이로 도입하는 대신 플랫폼 접근 방식을 따른다. 직원, 프로세스 및 기술 등 모든 요소에 똑같이 높은 수준의 다층적 보안 체계를 적용한다.
• 중요한 자산의 보호에 우선순위를 지정한다. 핵심 인프라에 잠재적 공격이 미칠 수 있는 피해를 인지하고 있어야 한다.
• 가능한 한 자동화한다. 사이버 보안 인력은 항상 부족하고 모든 위협 영역을 모니터링하기는 벅차다. 인공지능과 머신러닝을 활용하여 보안 팀을 보조하고, 위협 탐지 및 대응 시간을 가속화하는 사이버 보안 도구에 투자한다.
• 보안 관련 수치를 정기적으로 모니터링하여 비즈니스 리더가 기업의 보안 효율성, 규정 준수 및 직원의 보안 인식 수준을 쉽게 파악할 수 있도록 한다.
사이버 보안은 영원히 끝나지 않는 싸움이다. 효과적인 위협 관리의 핵심은 공격받을 수 있는 모든 영역에 대한 가시성과 맥락을 사전에 확보하는 것이다. 그래야만 어떤 취약점에 대한 공격이 제일 심각한 타격을 입힐지 파악하고 자원을 집중할 수 있다. 모든 공격에 완벽하게 대비하기란 불가능에 가깝다. 일부 위험은 받아들여야 하며, 사내 논의를 통해 절충안을 마련하는 수밖에는 없다.
*Steve Durbin은 비영리 독립 협회인 정보 보안 포럼(Information Security Forum)의 CEO다. ciokr@idg.co.kr